Ursula Ribeiro de Almeida, sócia da Roncato Advogados. Artigo publicado no Estadão
Em 2016, uma jovem chinesa de 18 anos perdeu a vida em decorrência de uma parada cardíaca, que sofreu após sua família ser vítima de uma fraude. Depois de ser aprovada para ingressar na universidade, a estudante recebeu uma ligação para que ela depositasse determinado valor, que seria destinado a sua matrícula no curso. A família não desconfiou da ligação porque havia recebido, no dia anterior, um telefonema oficial da autoridade educacional tratando do ingresso da jovem na universidade. No entanto, logo depois de fazer a transação, a família se deu conta de que transferiu boa parte de suas economias para um criminoso. Devastada com a situação da família, a jovem sofreu parada cardíaca e veio a falecer. O caso chamou a atenção da opinião pública, que passou a demandar punição mais severa contra vazamento de dados.
No ano seguinte, em 2017, o governo chinês aprovou a Lei de Segurança Cibernética, com o objetivo de garantir a segurança cibernética, a soberania e a segurança nacional do espaço cibernético, proteção dos direitos e interesses dos cidadãos, pessoas jurídicas e organizações, e a promoção do desenvolvimento saudável da informatização da economia e da sociedade. Em 2018, houve mais um passo para a proteção dos dados pessoais, desta vez no âmbito do comércio eletrônico, por meio da Lei do E-commerce, que prevê que o operador do comércio eletrônico deve ser punido de acordo com as regulações legais e administrativas na hipótese de violação da legislação aplicável à proteção dos dados pessoais, ou falha na obrigação de atender a segurança da rede. Em 2020, o Código Civil chinês foi aprovado para prever, dentre outros direitos fundamentais, que “a informação da pessoa natural é protegida pela lei”, assim, “qualquer organização ou indivíduo que precise acessar informações pessoais de outra pessoa deve fazê-lo de acordo com o direito e garantir a segurança de tal informação, e não pode ilegalmente coletar, usar, processar, ou transmitir informação de outra pessoa, ou ilegalmente comercializar, fornecer, ou publicizar tais informações.” No entanto, a legislação civil não prevê mecanismos para dar efetividade ao direito. Em setembro deste ano (2021), foi aprovada a Lei de Segurança de Dados com o objetivo de fortalecer a proteção da crescente economia digital, regulamentando a forma como os dados são usados, coletados, desenvolvidos e protegidos, mas não há uma preocupação específica com a proteção de dados pessoais.
Além da aprovação de novas leis, o governo chinês adotou medidas legais contra empresas de tecnologia com base na violação do direito dos cidadãos, incluindo uso abusivo dos dados pessoais e com caráter discriminatório dos consumidores. A Administração do Espaço Cibernético Chinês anunciou que iniciaria uma investigação da gigante Didi Global Inc por alegada violação de privacidade dos usuários. A Administração Estatal para Regulação de Mercado aprovou um conjunto de regras para aprimorar práticas de concorrência legal, incluindo a proibição de falsas análises online. A Associação de Consumidores, apoiada pelo governo chinês, publicou declaração contra práticas abusivas de empresas de tecnologia em compras e promoções.
Na mesma esteira, em 1° de novembro de 2021, entrará em vigor a Lei de Proteção de Dados Pessoais chinesa, que é fortemente inspirada nos preceitos da lei europeia de proteção de dados (General Data Protection Regulation – GDPR), que também inspirou a lei brasileira (LGPD). O objetivo da lei chinesa é garantir a proteção de dados das pessoas naturais, principalmente contra o uso indiscriminado por empresas e na adoção de medidas de segurança contra vazamentos e fraudes.
Assim como as leis europeia e brasileira, a lei de proteção de dados chinesa tem aplicação extraterritorial, ou seja, também é aplicável fora do território nacional. As hipóteses de aplicação extraterritorial são: (i) tratamento de dados de pessoas localizadas na China com o objetivo de oferecer produtos ou serviços, mesmo para empresas que tenham sede em outro país ou não tenham filiais na China; (ii) para atividades cujo objetivo seja analisar ou avaliar as atividades de pessoas naturais em território chinês, ainda que seja para a fins de pesquisa acadêmica ou jornalística; (iii) outras situações previstas em regulamentação própria. É importante que as empresas brasileiras que tenham interesse em oferecer produtos ou serviços para pessoas naturais na China estejam preparadas para demonstrar a observância à proteção de dados pessoais.
Destacamos também as restrições impostas para a transferência internacional de dados, que se aplica para empresas que tenham filiais na China. De acordo com a nova lei, a transferência internacional é autorizada nos seguintes casos: (i) aprovação de segurança pela administração do espaço cibernético estatal; (ii) certificação por especialista de acordo com as regulamentações da administração de espaço cibernético estatal, estabelecida com base na proteção de dados pessoais; (iii) celebração de contrato com receptor dos dados, que observe os padrões contratuais formulados pela administração de espaço cibernético estatal, especificando direitos e obrigações de ambas as partes; ou (iv) preenchimento de outras condições previstas em leis e regulações, ou pela administração do espaço cibernético. Ademais, também é necessário atender tratados e acordos internacionais celebrados pela China para estabelecer condições para tratamento de dados pessoais. Cabe ao controlador adotar as medidas necessárias para garantir que o tratamento pelo destinatário estrangeiro observe os padrões de proteção de dados estipulados pela lei chinesa.
A transferência internacional de dados pode ser restringida para operadores de infraestrutura de informações críticas e controladores de dados pessoais que alcancem um número previsto pela administração de espaço cibernético estatal. Somente se for necessária e, após prévia aprovação de segurança pela administração do espaço cibernético estatal, a transferência internacional pode ocorrer.
De maneira semelhante ao padrão europeu, a lei chinesa prevê que o titular de dados deve ter direito de saber o nome do destinatário estrangeiro, informações de contato, propósito e método de tratamento, tipo de informação pessoal e o meio pelo qual o indivíduo pode exercer os seus direitos, devendo obter o seu consentimento destacado.
Dessa forma, é necessário que as empresas, sejam brasileiras ou de outra nacionalidade, que precisem efetuar a transferência internacional de dados da China para o Brasil, estejam atentas ao controle rigoroso da autoridade chinesa.
Considerando que atualmente o Brasil tem uma lei vigente de proteção de dados, fortemente inspirada na lei europeia, e uma autoridade competente para sua fiscalização (a Autoridade Nacional de Proteção de Dados – ANPD), é esperado que o país seja classificado pela autoridade chinesa como um destino seguro para os dados pessoais. Nesse sentido, o início da vigência da lei de proteção de dados na China é mais um elemento que indica a importância da efetiva proteção de dados no Brasil para o comércio internacional.